回复本帖可获得 Math.random() * 10 金粒!每人限一次。 Alicorn 更新日志 当心 Log4j 0day CVE 漏洞! 当你看到这帖子的时候,Alicorn 已经修复了 Log4j 0day CVE 漏洞。 欢迎!Alicorn 是新一代的启动器,使用超酷的前端技术构建! > 进一步了解 Alicorn ChangeLog 变更 ATTENTION:本次更新涉及极为重要的安全补丁,建议所有用户安装!
We've Got Them. Target Is Safe. 好好的 Log4j,怎么就出了这种问题? 
“互联网被「点着」了。” —— WIRED (原文:https://www.wired.com/story/log4j-flaw-hacking-internet/) (Alicorn 处理 Issue:https://github.com/Andy-K-Sparklight/Alicorn/issues/72) Log4j 这个名字你一定不陌生,即使你从未接触过 Java 开发,也一定已经在崩溃报告中见到它的名字。 Log4j 是 Minecraft 的日志记录器,但不仅如此,包括 Cloudflare, Apple, Microsoft, Oracle, Twitter 在内的许多巨头的产品也大量使用了 Log4j。 然而这次它被发现有漏洞。并且可以执行远程代码。 然而这次它被发现有漏洞。并且可以执行远程代码。 幸运的是,我们发现和处理的速度足够快,#37 及以后的 Alicorn 中已经修复此问题。经过测试人员检验,已经无法触发漏洞。 但同时,我们要警告所有玩家:不要使用 Java 7 或更低版本,也不要游玩 1.12.2 之前版本的服务器!尽管 Alicorn 采取了两种修复手段,但这并不足以在这些环境下保证你万无一失。数据无价,谨慎操作! 各大启动器也基本上都采取了相应的措施,因此不必过分紧张,继续享受 1.18 的地形吧! GoodBye, CMS. Hello, G1. 默认垃圾回收器已经更换 
我很喜欢 CMS,而且我的确成功地调优过几组 CMS 参数,它们有的甚至比 Aikar 的 G1 参数更快。 然而 CMS 已经老了。 它太老了,早在 JDK 9,CMS 就已经被标记为废弃了。然而鉴于还有大量用户在使用 Java 8,CMS 依然在被普遍应用。 现在 Java 16 来了,是时候更换 GC 和一些其它参数了!现在 CMS 已经从 Alicorn 中被移除了,我们将使用 G1 来代替它。别了,CMS! 现在,你的游戏将运行得更加流畅,而一如既往,你不需要做任何事情。 I'd Rather See It 友谊接力大升级 
(现在友谊接力更加聪明了!虽然需要 Alicorn 的辅助,但现在当你输入了六位代码后,CC 就会将对应的信息记录到 servers.dat 文件中。启动游戏后转到「多人游戏」就可以查看和加入啦!哦对了,motd 也会显示的哦!(可能比 LAN 搜索的体验还要好) Rock With Us! 一起来玩! 加入我们的 Discord 聊天,随时跟进最新的开发进度哦!https://discord.gg/csGgQgXhZk The Future Is Alicorn. 今天就开始使用 Alicorn 吧!https://www.mcbbs.net/thread-1249960-1-1.html Special Invited 嘉宾席 @bleake @Wudji @whatfilmae @天空ag @振翮高飞 @⚡️👮 @dengyu @青蛙的名单 @小影子 @道悟隐 @苦力怕553 @PLAIN_SHEEP @篠崎無銘 @ZX夏夜之风 @幸会秋川 @白崭啊 |
来自群组: Alicorn Union
又是大佬,支持一下
感谢大佬们,那1.7的服务器就只能升级了?
bbs永远不缺少大佬,受教了
支持大佬,这两天因为这个漏洞搞得焦头烂额,一顿按教程操作以后,还不能很放心的玩耍。。不知道做到什么程度才算安全
bug可能会来到,但是大佬永远不会缺席!(暗示白嫖金粒)
牛啊大佬,这启动器的界面是真的亮了,慢慢的新奇感
大佬实在是太强了
顶一个
P.S.其实可以出一个组件化(模块化功能)来实现功能管理(以缩小占用空间)
就是类似Windows功能的那个开关……
P.S.其实可以出一个组件化(模块化功能)来实现功能管理(以缩小占用空间)
就是类似Windows功能的那个开关……
果然修复了Log4j漏洞,我玩的服务器因为这个bug关了两天服务器了,昨晚才开
这次很多服务器都得被迫升级。从漏洞发现,直到现在有许多服务器还没开启。
低版本玩家一个个痛失所爱,他们的模组服核心都没有高版本更新。网络天灾了属于是。
我目前只是装了客户端的修复模组,我也不知道有没有用。大佬的启动器已经有一份了,不过我主要还是用的官方启动器。
低版本玩家一个个痛失所爱,他们的模组服核心都没有高版本更新。网络天灾了属于是。
我目前只是装了客户端的修复模组,我也不知道有没有用。大佬的启动器已经有一份了,不过我主要还是用的官方启动器。
这次漏洞很严重,但我很高兴alicorn及时做出了反应。
:)
另外,可以考虑重新添加32位的友谊接力支持(因为真的有人的电脑配置糟糕到只能用32位系统),每个人都重要。
不过hypixel论坛还没有漏洞修补的公告,是我没看twitter吗?还是他们的服务器不是基于1.8.9写的?
:)
另外,可以考虑重新添加32位的友谊接力支持(因为真的有人的电脑配置糟糕到只能用32位系统),每个人都重要。
不过hypixel论坛还没有漏洞修补的公告,是我没看twitter吗?还是他们的服务器不是基于1.8.9写的?
hongrukuku 发表于 2021-12-12 11:14
支持大佬,这两天因为这个漏洞搞得焦头烂额,一顿按教程操作以后,还不能很放心的玩耍。。不知道做到什么程 ...
客户端:目前已知除 HMCL 外的新启动器(指仍在维护的)都提供了修复措施,游玩 Java 8 及以上版本即可(也就是绝大多数版本),HMCL 可通过添加下面的参数来部分保证安全
服务端:立即升级服务端到当前大版本的最新版本(1.12.2 及以下版本也应当更新大版本到 1.12.2),在启动脚本中添加 -Dlog4j2.formatMsgNoLookups=true,并立即安装相关插件
所以说我们要玩1.7.10的服,对吧
什么时候可以游玩1.12.2以前的
whatfilmae 发表于 2021-12-12 12:11
什么时候可以游玩1.12.2以前的
(等到你够胆的时候(
事实上 1.12.2 以前的单人游戏相当安全,理论上 Alicorn 采取的修复措施对于 Java 8 以上运行 1.12.2 之前版本的同样有效
emmm
有点奇怪
我还以为是鼠标指针放到选项里去了(
但是为什么我没有触发自动更新啊这....
支持,发现bug修复及时,大佬加油
支持大佬,围观大佬,企图获得金粒
膜拜大佬的一天
又是大佬好耶
这个漏洞确实搞得人心惶惶的,不过能解决是最好的
幸好我差不多一直跟进最新版本的(虽然我是写模组的),不过还是感谢大佬们的努力。
看上去你是用的这个? https://github.com/AzisabaNetwork/Log4j2Fix
建议换一个,或者自己写一个也可以,反正也不复杂。他这个用了 jni 来进行了一些操作,但是对于 javaagent 来说,明明是用不着的。带来的后果是,windows/linux arm 以及 mac 都不支持。
建议换一个,或者自己写一个也可以,反正也不复杂。他这个用了 jni 来进行了一些操作,但是对于 javaagent 来说,明明是用不着的。带来的后果是,windows/linux arm 以及 mac 都不支持。
启动器吧,我感觉无所谓,能玩就行
又是大佬,支持一下
bbs藏龙卧虎不是一天了
log4j2 要么整插件 要么换核心 spigot的核心官方基本更新完了 我paper1.12还是找大佬改的
看到有漏洞的新闻后第一反应就是Alicorn要连夜更新了
篠崎無銘 发表于 2021-12-12 17:05
看到有漏洞的新闻后第一反应就是Alicorn要连夜更新了
(Commit 是即时提交的,但更新是按照常规步伐更新的
HaPi_r 发表于 2021-12-12 15:09
emmm
有点奇怪
我还以为是鼠标指针放到选项里去了(
自动更新要重启启动器才会再做检查
而且不是 100% 成功,谁知道 jsDelivr 会有什么鬼问题(
友谊接力联机好评!指针好评![ohhh]
我已经换新启动器了
因为这个bug最近一直不敢玩多人,准备等官方确认完全没威胁了在玩
log4j这个漏洞爆出的时候真的有点吓人了,不过 友谊接力联机现在可以在「多人游戏」中找到好友的游戏 这个机制真的挺喜欢的
完全看不懂 只知道是大佬
啊后排点个支持!强的呀大佬!(可惜电脑坏了呜呜呜)
太好了 服务器有救了
使用这个启动器还会更加流畅,好处都让我占了
辛苦了
辛苦了所以说这个bug,已经被修复了是吧。
习惯了hmlc ,alicorn用不来
谢谢谢谢楼主大佬!!
雀食牛批,大佬爆赞
保护电脑不应该试用360吗
log4j2漏洞是真的致命,一不小心变矿机
解决了就好了,支持大佬
感谢楼主6666666666
昨天刚修复好,今天看到有几个服务器还不知道..傻掉了